ISO27017について振り返る
ISO27017とは、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティの第三者認証の規格のことです。ISMSとして知られるISO27001認証を補完する「アドオン認証」とされています。イメージとしては、土台となるISO27001認証の上に、クラウドサービスのセキュリティに特化したISO27017認証が乗っかっているようなものです。
ISO27017は、様々なクラウド上のリスクへの備えを示したガイドラインであり、「クラウドセキュリティ」を実現する実践的な指針です。GoogleやAmazonなど、クラウドサービスを運営する世界的なIT企業が取得済みの規格でもあります。クラウドサービスのプロバイダだけでなく、クラウドサービスを利用する企業も取得できる規格です。
認証を受けることにより、クラウドサービスのプロバイダにとっては、サービスの信頼度を高めることが可能となります。一方、ユーザー企業は、クラウドサービスまで含めて、安全管理策を構築していることの証明となります。ユーザー企業が、入札や取引資格審査の際に、情報セキュリティ体制を証明する用途でも、この認証取得のメリットを生かすことができるのです。
ISO27017の管理策をLRMのコンサルタントによる解説付きで一覧化した資料を無料で配布しています。まずはご一読ください。
約4,000円でISO27017の日本語規格を購入可能に!
ISO27017規格は、英語による文書ですが、日本語版はJIS Q 27017として2016年に発行されています。
それまでJIPDECが運営しているISMSクラウドセキュリティ認証を取得するためには、ISOが販売しているISO27017(英語)を購入するか、日本規格協会が発行している日本語邦訳版のISO27017を購入する必要がありました。これらの文書は、約1万5千円、約3万円と、かなりお高い金額になっていました。
JIS Q 27017が発行されたことで、27017規格は約4,000円と比較的に安価で購入することができます。しかも、PDFでの購入も可能です。
JIS Q 27017の購入ページは、以下の通りです。
現在日本では、JIS Q 27017 がISO27017規格の邦訳よりもより広く利用されています。原文あるいは原文の邦訳よりも安価に入手可能であることが一つの原因ですが、それだけではありません。JIS Q 27001 に従ってセキュリティ規格を取得してきた日本企業には、日本版のJIS Q 27017の方がよりなじみやすいということができます。
ISO27017とJIS Q 27017の違い
そこで気になるのは、ISO27017とJIS Q 27017の内容の差異です。単に英語と日本語の違いだけなのでしょうか。
ISO規格を翻訳して作られたJIS規格には、そのJIS規格が、もともとのISO規格とどれだけ「同等なものなのか」を表す指標が存在しています。指標は3段階で、一致度が高い順に「IDT(Identical)」「MOD(Modified)」「NEQ(Not equivalent)」となっています。
この点、JIS Q 27017は、ISO 27017に対して「IDT」となっています。一致度が最も高いカテゴリに属しているということです。
よって、ISO27017との差異はほとんど無いと考えてもらって問題ありません。感覚的には、日本語に訳しただけ、というイメージです。文書が安価なだけでなく、内容の差異も原文であるISOとあまり変わらないのです。
ちなみに、ISMSクラウドセキュリティ認証制度を運営しているJIPDECのページを見てみると、この制度の要求事項である「JIP-ISMS 517」へのリンクの下に「本要求事項におけるISO/IEC 27017:2015は、JIS Q 27017:2016と読み替えるものとします。」という注意事項が書かれています。
したがって、これから認証取得のための活動を開始しようとしている組織にとっては、すでにISO27017は不必要なものであり、JIS Q 27017を購入して、取り組みを開始すれば十分と言えます。
逆に、既にISO27017規格を購入して取り組みを始めている組織は、ISO27017とJIS Q 27017の間に差異はほとんどありませんので、そのままISO27017で進めでも問題ないでしょう。
ISO27017の規格要求事項の概要
ISO27017は、クラウドサービスのセキュリティ体制確保のために、ISO27001の要求事項に加えて、要求事項を含んでいるものです。以下の要求事項を上乗せする必要があります。
6.3.1 クラウドコンピューティングにおける役割及び責任の共有及び分担
クラウドサービスは、プロバイダ・ユーザー・データの管理者等、多数の関係者がサービスを提供・利用することが必要です。それぞれが適切な対応をするための役割と責任を分担する必要性と、体制を明らかにする管理策が必要です。
8.1.5 クラウドサービスカスタマの資産の除去
クラウドサービスのプロバイダは、さまざまな形態によりカスタマの情報を預かります。ただし、カスタマの利用の中止、あるいは保管年限などがあります。そこで、カスタマの情報を削除する際の取り扱いルールについて、明確な管理策を示す必要があります。
9.5.1 仮想コンピューティング環境における分離
仮想コンピューティング環境であるIaasやSaasのプロバイダは、利用者同士・社内環境から、クラウド環境をそれぞれ分離する必要があります。確実・適切に分離されている状態を確保するための管理策が必要です。
9.5.2 仮想マシンの要塞化
要塞化とは、クラウドサービスのインフラに関するセキュリティを強固で万全なものにすることを言います。クラウドサービスのプロバイダが、自社でサーバー管理をしている場合の万全な管理策を必要としています。
12.1.5 実務管理者の運用のセキュリティ
クラウドサービスのプロバイダは、ユーザーが正しい行動をとるためのマニュアル・手順書の整備を行う必要があります。
12.4.5 クラウドサービスの監視
クラウドサービスは、利用者のデータ容量・キャパシティを管理しないと適切に運用・利用することが出来ません。クラウドサービスのプロバイダが、適切に監視できるようにする管理策が必要です。
13.1.4 仮想及び物理ネットワークのセキュリティ管理の整合
クラウドサービスのプロバイダが、物理的な制約を受けることがあれば、サービスは正常に提供できなくなります。そのため、仮想サーバの利用に関するルールを明確に定めた管理策を必要とします。
ISO27017認証取得までの流れ
ISO27017は、ISO27001のアドオン認証ですので、まずはISO27001に対応していない場合は、対応する必要があります。構築したISO27001の体制に加えて、関連システムについて、要求事項を足すこととなります。
JIS Q 27001 および、JIS Q 27017 に従い、ISMSクラウドセキュリティ認証を取得する際も、手順・流れは同じです。
より詳しいことは、こちらの記事でご確認ください。
まとめ
ISO27017は、クラウドサービスのプロバイダの安全性・ユーザー企業のセキュリティ体制の証明に利用されるクラウドサービスのセキュリティ規格です。日本版のJIS Q 27017もほぼISO27017と同様の内容をもち、広く利用されています。ISO27001との整合性を持たせながら、追加の要求事項を充足することが必要です。
まずは管理策をご確認ください。